أستغفر الله العظيم ... سبحان الله وبحمده


العودة   منتديات داماس > برامج الكمبيوتر والانترنت > برامج الحماية


مواضيع مميزة  


آخر عشرة مواضيع المواضيع النشطة


17-11-2010, 08:06 AM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,971
إعجاب: 272
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 11 موضوع
    #1  

ملف ضار يتعدى حماية النواة في windows


ملف ضار يتعدى حماية النواة في windows

ملف ضار يتعدى حماية النواة في windows

الملف الضار المعروف "Alureon rootkit" استطاع ان يتعدى الحماية في windows
وايضا windows 64 bit

هذه الملف الضار يستطيع ان يتعدى الكثير من طرق الحماية الموجودة في windows واهمها
الية حماية النواة "PTHGuard"

هذه الملف الضار الذي اول ما اكتشف في " المانيا " واول ظهور كان ل windows32bit
حيث كان يسبب BSOD " الشاشة الزرقاء "
منذ 17 سنة , والامر الاكثر صعوبة هو عند تثبيت ال رقعة الامنية من microsoft يسبب
عدم حصول boot للنظام !
( طبعا هذه الاصدارة القديمة من هذه الملف الضار ولكن تابعوا التالي للاصدارة الحديثة ملف ضار يتعدى حماية النواة في windows )

تسبب هذه الملف الضار ( عند اصابة النظام ) الى عدم تأشير بعض المعرفات فيه
وعند ذلك يتم استدعاء الملف الضار بواسطة API معين والنتيجة يتجاوز
PTHGuard
الذي هو مصمم لحماية نواة windows من الملفات الضارة

الان عند اعادة تشغيل النظام , يعمل الملف الضار الى استخدام
IOCTL_SCSI_PASS_THROUGH_DIRECT
لكتابة نفسه مباشرة الى القرص الصلب خاصتك
والنتيجة النهائية وجود الملف الضار في
master boot record (MBR)

طبعا تعلمون معنى ان يتم السيطره على MBR ؟
هذا يدل على ان الملف الضار اصبح يبدأ قبل بداية النظام ثم يقوم بعمل ارتباط للنواة ويمرر المعرفات المطلوبة وايضا يستطيع اضافة اي تعديل اخر فوق صلاحية admin

كمثال :
( هذا الاختبار على نظام windows7 64-bit )

هنا الملف الضار اصاب kdcom.dll واصبح قادر على تعديل الاعدادات لتحديد اولوية المعرف
ايضا للتذكير : هذه الملف الضار يقوم بتعطيل debuging بالنظام مما يجعل
reverse engineering ( RE ) -الهندسة العكسية -
طريقة صعبة لاكتشافه ملف ضار يتعدى حماية النواة في windows


text: public KdDebuggerInitialize0 <-- هناالمتغيرات التي تحدث
text: mov cs:byte_1800019EC, 3
text: xor eax, eax
text: retn <-- هنا نلاحظ ان debug اصبح NOP 
.
.
.
.
text: KdDebuggerInitialize1
text: lea     rcx, sub_18000190C <-- هنا يتم تثيت الملف الضار
text: jmp     cs:PsSetLoadImageNotifyRoutine 
text: public KdDebuggerInitialize1 endp
هل انت مصاب :

الحل من امرين

1- ان يكون برنامج مضاد الملفات الضارة محدث والتأكد انه تم اصدار حماية من هذه الملف الضار

2- الاكتشاف يدويا :
لفعل ذلك افحص اقسام القرص الصلب ب diskpart
فاذا لم يظهر اي قسم
قد يدل انك مصاب به

شكراملف ضار يتعدى حماية النواة في windows




انا لست عربي
لذا اعذرني اذا لم افهمك من البداية
شاركنا بتصميم سطح مكتبك


++ Off-Line ++

المواضيع المشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
طلب شرح كامل لدمج ويندوز 7 عربي النواة مع ويندوز 7 انجليزي النواة اكس اكس عبود اكس مشاكل وحلول الويندوز, اسئلة واستفسارات وشروحات الويندوز 1 21-04-2014 09:21 AM
ما هى العقوبة لمن يتعدى سن 30 ولم يتقدم للتجنيد ادهم دياب مُسْتَشارُكَ القّانُونيْ 1 08-10-2009 07:17 PM
ثيم لويندوز إكس بي بحجم لا يتعدى 2 ميجا Dream LH 4.0 Alpha hatem20 برامج 18 24-06-2009 06:24 AM
17-11-2010, 11:04 PM
sameh haron غير متصل
الوسـام الذهبي
رقم العضوية: 117106
تاريخ التسجيل: Apr 2008
المشاركات: 1,811
إعجاب: 362
تلقى 74 إعجاب على 34 مشاركة
تلقى دعوات الى: 1 موضوع
    #3  

جزاك الله كل خير اخى العزيز ولكن ان امكن تبسيط الموضوع اكثر من ذلك لان هناك بعض النقاط لم افهمها وشرح كيفية الحماية ان لم اكن مصاب بهذا الملف الضار


لا تنسى ذكر الله



18-11-2010, 01:52 AM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,971
إعجاب: 272
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 11 موضوع
    #4  

وعليكم السلام

تبسيط الموضوع اكثر من ذلك لان هناك بعض النقاط لم افهمها
هذا هو مع التبسيط , على اية حال ما هو الغير واضح لابسطه

وشرح كيفية الحماية ان لم اكن مصاب بهذا الملف الضار
هل انت مصاب :

الحل من امرين

1- ان يكون برنامج مضاد الملفات الضارة محدث والتأكد انه تم اصدار حماية من هذه الملف الضار
مشكور اخي على المعلومة القيمة
شكرا

19-11-2010, 08:12 PM
Ahmed-Under غير متصل
عضوية الشرف
رقم العضوية: 84905
تاريخ التسجيل: Jun 2007
المشاركات: 19,152
إعجاب: 8,083
تلقى 10,351 إعجاب على 884 مشاركة
تلقى دعوات الى: 2643 موضوع
    #5  

جزاك الله كل خير اخ اذكرالله ع المعلومات ..؛


19-11-2010, 08:53 PM
Abo fatema غير متصل
عضوية الشرف
رقم العضوية: 68108
تاريخ التسجيل: Mar 2007
الإقامة: غزة - فلسطين
المشاركات: 7,577
إعجاب: 1,874
تلقى 5,731 إعجاب على 617 مشاركة
تلقى دعوات الى: 851 موضوع
    #6  

وعليكم السلام ورحمة الله وبركاته
جزاك الله خيرا أخي الحبيب معلومات قيمة . لم أكن أتوقع إختراق نظام 64 بت بهذه السهولة !!
ربما هذا للتسويق لنواة 128 بت القادمة أليس كذلك ؟ !!
فقد أخبرني أحد الإخوة أن مايكروسوفت هي نفسها من تقوم بعمل هذه الثغرات وهي نفسها من تصدر الفايروس تحت مسميات مختلفة .
لتقوم فيما بعد بتسويق البضاعة الجديدة وأظن أن هناك شيء صحيح في الأمر ألا توافقني ؟ ..


19-11-2010, 09:49 PM
اذكرالله غير متصل
عضوية الشرف
رقم العضوية: 327106
تاريخ التسجيل: Mar 2010
الإقامة: japan - italy
المشاركات: 1,971
إعجاب: 272
تلقى 530 إعجاب على 67 مشاركة
تلقى دعوات الى: 11 موضوع
    #7  

المشاركة الأصلية كتبت بواسطة Ahmed-Under 
جزاك الله كل خير اخ اذكرالله ع المعلومات ..؛
شكرا

المشاركة الأصلية كتبت بواسطة Abo fatema 
وعليكم السلام ورحمة الله وبركاته
جزاك الله خيرا أخي الحبيب معلومات قيمة . لم أكن أتوقع إختراق نظام 64 بت بهذه السهولة !!
ربما هذا للتسويق لنواة 128 بت القادمة أليس كذلك ؟ !!
فقد أخبرني أحد الإخوة أن مايكروسوفت هي نفسها من تقوم بعمل هذه الثغرات وهي نفسها من تصدر الفايروس تحت مسميات مختلفة .
لتقوم فيما بعد بتسويق البضاعة الجديدة وأظن أن هناك شيء صحيح في الأمر ألا توافقني ؟ ..
شكرا
فقد أخبرني أحد الإخوة أن مايكروسوفت هي نفسها من تقوم بعمل هذه الثغرات وهي نفسها من تصدر الفايروس تحت مسميات مختلفة .
لتقوم فيما بعد بتسويق البضاعة الجديدة وأظن أن هناك شيء صحيح في الأمر ألا توافقني ؟
بالتأكيد اوافقك . وللأسف هذا صحيح
ان بعض الشركات تقوم بعمل ذلك لتجبرك الى استخدام هذا المنتج ( او تشعرك بانك بأمان عند استخدامه )

مثلا . .
هل يتذكر احدكم الملف الضار confliker الذي كان يضر شبكات الاتصال

ظهرت اشاعات بان المسؤول عن ظهوره Kaaaaaaaspersky
وكان اول من طرح الرقعة , ومن خرج يقول بان المستخدمين في امان باستخدام هذا المنتج

طبعا هذه اشاعات وانا لا اجعل الكلام اكيد
لكن

تستطيع القيام ببحث وتتأكد ان اخطر البرامج الضارة يقف خلفها شركات حماية

شكرا لك

 


ملف ضار يتعدى حماية النواة في windows

English

Powered by vBulletin® Version
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
The owner and operator of the site is not responsible for the availability of, or any content provided.
Topics that are written in the site reflect the opinion of the author.
جميع ما يُطرح من مواضيع ومشاركات تعبر عن رأي كاتبها ولا تعبر عن رأي مالك الموقع أو الإدارة بأي حال من الأحوال.